借助KB5004296(及后续版本)以及已集成到ghost win11中的功能,Microsoft 简化了允许或阻止设备安装的过程。
到目前为止,管理员只能在组策略中输入类、设备 ID 或实例 ID,以便允许或阻止安装。随着本地计算机指南-计算机配置-管理模板-系统-设备安装-设备安装限制下的新组策略“允许和阻止...更加人性化。
• 有了这项新政策,您不再需要知道不同类别的设备来防止只安装 USB 类别。使用新策略,您可以将脚本重点放在 USB 类上,并确保不会阻止其他类,除非 IT 管理员已设置。”
• “在过去,任何阻止策略都优先于任何许可策略,创建了一组定义和一组严格的允许/禁止设备,每次出现一组新设备时都会产生更新问题。”
有了这个新指南,IT 管理员现在可以更轻松地阻止设备安装,例如,为了提高安全性。这意味着无法连接任何可能导致数据被盗的设备。